文/陈婧
黑客投毒佛罗里达水厂未遂、巴西国库遭勒索软件攻击、伊朗遭受网络攻击导致全国加油站大规模关闭……过去一年里发生的这些听上去很“爆炸”的新闻,无一不与网络安全息息相关。
网络安全问题日益突出,也让“信息安全测试员”等新职业逐渐揭开神秘面纱,从“小众”走向蓬勃发展。
什么是“信息安全测试员”?
在许多人还未曾听说“网络安全测试员”这一职业的时候,《2021年北京市人力资源市场薪酬大数据报告》里,它以32.38万元高居年薪中位值排行榜第二。排名第一和第三的分别是:区块链工程技术人员(48.71万元)、云计算工程技术人员(29.29万元),都与网络信息、互联网科技行业相关。
2020年,人社部发布新兴职业,“信息安全测试员”位列其中。到底什么是“信息安全测试员”?
根据人社部给出的介绍,“信息安全测试员”就是通过对评测目标的网络和系统进行渗透测试,发现安全问题并提出改进建议,使网络和系统免受恶意攻击的人员。
这里提到的“渗透测试”又是什么?
公安部第一、第三研究所原所长、研究员,中国计算机学会计算机安全专业委员会荣誉主任严明对中新社国是直通车表示,网络安全是一种在攻防对立博弈中的安全保障。在构筑网络安全体系时,需要验证其是否达到了安全目标,因此要进行一系列测试,这些测试大致分为两类,一是合规性测试,二是实际的针对渗透性攻击的防御能力验证,这种验证通常以攻防形式进行,在技术上叫渗透性测试。
作为一名“渗透测试工程师”,奇安信集团应急响应业务总监张永印对中新社国是直通车表示,“信息安全测试员”和他所从事的渗透测试工作岗位性质基本一致。
据张永印介绍,“渗透测试”是在客户授权的情况下,对客户指定的网站、应用服务、App等重要信息系统,在尽量不影响业务运行的情况下,以模拟黑客攻击方式对其进行安全检测,尝试发现其安全漏洞或隐患,来评估其业务安全性并提供安全修复建议。
也有人这样描述这个不断在网上“找坑”的工作:如果说,黑客是在网上挖坑,然后利用这个坑去攻击网络和系统的话,那么信息安全测试员就是先黑客一步,挖出“坑”来,然后分析它的特点,想办法补“坑”,从而保证整个网络及资产安全。
中国信息安全研究院副院长左晓栋对中新社国是直通车表示,“信息安全测试员”这一职业就像现实中的“医生”。“如果没有医生,那人类健康就会难以保障。没有这一职业,我们就会提心吊胆,时时担心使用的网络或系统出现问题,最终就是什么事也干不了。”左晓栋说。
日常“找坑”“补坑”,待遇如何?
这些日常“找坑”“补坑”的职业就业前景和待遇如何?
据了解,政府部门信息监察、网站安全、病毒杀毒公司、银行、金融、证券、通信领域等多个热门行业对这个岗位的人才都有巨大的需求,就业前景广阔。
“最近几年渗透测试这一块就业形势非常好,供不应求,金融、央企、互联网以及信息化业务使用较多单位对这个岗位有明确需求。”张永印说。
据张永印了解,刚毕业就从事渗透测试相关工作,月薪大概在1万起较普遍,工作2-3年的成手人员月薪大概在2万左右,3年以上有攻击队能力的人员一般得3万左右或更高,依能力判断。
目前,这一高薪的职业面临较大人才缺口。2021年10月份,工信部联合多个单位发布的《网络安全人才发展报告》显示,我国网络安全人才市场每年平均需求与供给之比约为2:1,专业人才累计缺口在140万以上。高级战略人才和专业技术人才尤其匮乏。
据张永印介绍,做渗透需要懂的技术点包括操作系统(windows/linux)、数据库(mssql/MySQL/oracle/redis)、开发语言(php/JAVA/Python/ target=_blank class=infotextkey>Python)、渗透技术等。“实际上,企业对初级人员招聘要求不是太高,信息安全相关专业的,培训班学2-3个月,学得好的就能找个工作。”
但是,张永印指出,从技术能力维度来看,目前渗透/攻防相关人员缺口很大,想招成手人员很难,这个岗位这几年需求呈现大幅度增长,企业在招聘时更多是需要中、高级能力人员。
“这主要因为不是学历越高就代表技术能力越高,学渗透需要一些天赋成分,并非常规的技术点检查,需要个人有较强的漏洞研究能力。同时需要有较强的兴趣驱动自己不断学习新技术,因为每天都有可能出新漏洞。”张永印说。
国家级标准颁发
基于这一特殊性,左晓栋表示,这一职业的设立以及相关标准的制定,对网络安全行业发展而言意义重大,可以极大地推动相关知识进步,激励更多人投入这一重要工作中来。
2021年11月25日,人力资源和社会保障部办公厅、中央网信办秘书局、工业和信息化部办公厅、公安部办公厅颁布《信息安全测试员国家职业技能标准》。
目前,“信息安全测试员”新职业培训教材大纲也已经开始编写。
作为“信息安全测试员”国家职业技能标准编写组组长,严明深知,具备渗透测试或压力测试技能的人才,不是仅仅以学历和学位能够表征出来的,需要在掌握必需基本知识的情况下具有高度技巧和实操能力。
因此,他认为,对于相关领域的技能队伍的建设和管理至关重要。不仅如此,网络安全行业的特殊性还决定了对于相关从业人员的职业道德、法律意识和政治素质应当进行严格考核和规范管理。这一职业标准的制定对于网络空间安全和发展来说十分重要。
严明强调,正是因为人社部关注到国家和行业对于网络安全人才的迫切需求,“信息安全测试员”这一新职业才得以设立,这一国家职业技能标准才得以颁发。
“当前网络安全领域面临多重挑战和压力,在我国网络安全人才队伍建设过程中,如何从国家政策和方略上对掌握优秀攻防技能的人才给予肯定和鼓励非常重要。”严明说。
在严明看来,对渗透测试人才地位的认可和加强,对于相关领域人才的管理、培训甚至保护而言尤为重要。他说,“缺乏高水平的渗透性测试人才,在最终实现网络安全保护上就‘缺了一条腿’,不能真正达到安全的目的。”
何时才能持证“上岗”?
但是,光一个标准还不行,让相关人员持证“上岗”还有很多工作要做。严明指出,下一步要根据这一标准进行培训教材的编写、研究、评审、修改、报批、定稿等,之后人社部会组织有关部门根据标准和培训教材来组织培训和考核。
“一旦通过考核,将会获得由人社部代表国家颁发的职业技能证书,那就是国家承认的职业技能身份或者资格了,非常重要也非常有意义。”严明预计,整个过程起码还需要两年时间。
一位网络安全测试人员对中新社国是直通车表示,对于已经踏上工作岗位的人来说,这一新职业设立和标准的颁发最大影响在于可以考取国家级证书,而不仅仅是行业级证书,对其技能认定以及就业选择会有所帮助。
同时,在他看来,更为明显的影响在于让这份原本“神秘”的职业被更多人看见,为即将进入行业的新人提供了职业的方向。
对于相关人员的管理和培训,左晓栋建议,一是严把质量关,确保从业人员都具备较高水平;二是加强职业道德教育,因为这些工作涉及被保护对象的核心资产,而且测试结果往往具有背书意义或被有关方面采信,这就对从业人员提出了很高的遵纪守法和道德要求。